Как закон Калифорнии о конфиденциальности потребителей повлияет на малый бизнес

Калифорнийский закон о конфиденциальности потребителей (CCPA) был принят 28 июня 2018 г., и он вступает в силу завтра, 1 января 2020 г. Этот закон защищает права потребителей на неприкосновенность частной жизни в пределах штата, но поскольку Интернет есть везде, этот закон навсегда изменит Интернет. Подобно Общему регламенту по защите данных в Европе (GDPR), CCPA затронет многие компании, которые собирают личную информацию от жителей Калифорнии. Закон позволяет калифорнийцам, известным своей склонностью к судебным разбирательствам, подавать в суд на компании, если их личная информация будет скомпрометирована в результате утечки данных.

Он вступит в силу 1 января 2020 года, но большинство предприятий не знают, как это повлияет на них. Недавний опрос, проведенный ESET опросили 625 владельцев бизнеса и руководителей, чтобы оценить готовность бизнеса к этому правилу. Почти половина (44,2%) никогда не слышали о CCPA. Только 11,8% знают, распространяется ли на них закон, а 34% не уверены, нужно ли им менять способы сбора, хранения и обработки данных.

Стоит отметить, что 2018 год был вторым по активности утечек данных. Безопасность на основе рисков. Было зарегистрировано 6500 нарушений, в том числе около 5 миллиардов записей, от мега-взломов таких компаний, как Facebook, до гораздо более мелких.

Вот все, что вам нужно знать об акте, и что вы можете сделать, чтобы подготовиться как владелец малого бизнеса.

Что такое Закон штата Калифорния о конфиденциальности потребителей?

Мэтт Думиак, директор службы конфиденциальности в CompliancePointи Грег Воробей, старший вице-президент и генеральный менеджер CompliancePoint, заявили, что CCPA — это законопроект, который потребует от компаний внедрения новых политик и процедур для обеспечения защиты личной информации. Это включает в себя политику конфиденциальности, меры безопасности и упрощение прав потребителей.

Однако предприятия не обязаны выполнять все запросы потребителей. По их словам, каждый из них должен быть проанализирован, чтобы убедиться, что бизнес соблюдает только те, которые применимы.

Согласно веб-сайт CCPAЗакон защищает следующие права потребителей:

• Право знать все данные, собранные на них, в том числе, какие категории данных и почему они собираются, прежде чем они будут собраны, и любые изменения в их сборе
• Право отказаться от продажи своей информации
• Право требовать удаления своих данных
• Обязательное право подписаться перед продажей информации о детях до 16 лет.
• Право знать категории третьих лиц, которым передаются их данные, а также тех, у кого их данные были получены
• Исполнение генеральным прокурором штата Калифорния
• Частное право на действия в случае нарушения, чтобы обеспечить безопасность информации компаний

Думиак и Воробей сказали, что у предприятий есть 45 дней, чтобы ответить на запросы потребителей; и любой ущерб, который возникает из-за нарушения, ограничен 750 долларами США на потребителя за инцидент.

CCPA, до того, как он был внесен в поправку с Законом о Ассамблее 375, изначально имел более строгие правила, которые могли бы почти парализовать технологическую отрасль, которая процветала в калифорнийской Кремниевой долине. Но Думиак и Воробей отметили, что официальный CCPA дает предприятиям 30-дневный срок для исправления любых нарушений, если они могут доказать, что в них были внесены поправки и что больше не произойдет. В противном случае нарушители могут быть оштрафованы на сумму до 7500 долларов США за умышленное нарушение.

Как это влияет на малый и средний бизнес и что они могут сделать, чтобы подготовиться?

Думиак и Воробей отметили, что законопроект будет применяться к «любому бизнесу, который зарабатывает 25 миллионов долларов в год, продает 50 000 потребительских записей в год или получает 50% своего годового дохода от продажи личной информации». Сюда входят предприятия, которые собирают или продают личную информацию от потребителей в Калифорнии, независимо от того, где находится сама компания.

Средний годовой доход малого бизнеса составляет менее 25 миллионов долларов. Фактически, для предприятий с числом сотрудников от 20 до 99 средний доход составляет 7 124 000 миллионов долларов США. согласно QuickBooks. Хотя квалификация, на которую распространяется этот законопроект, может исключать многие малые предприятия, это не означает, что вам не следует готовиться.

«CCPA дает малым предприятиям стимул и мотивацию, чтобы начать думать об обработке и защите персональных данных в их бизнес-среде», — сказал Думиак. «Большинство организаций ощущают нехватку ресурсов, и малый бизнес ничем не отличается, если не больше».

«Закон Калифорнии значительно поднимет планку, и это будет не последний раз, когда она поднимается, поскольку государства стремятся подражать новому GDPR ЕС», — добавил Роберт Каттанак, партнер в Дорси и Уитни который помогает клиентам ориентироваться в регулирующем законодательстве. «Эта мера, вероятно, увеличит количество судебных разбирательств, поскольку создается и расширяется больше прав потребителей».

Но отсутствие осведомленности может привести к несоблюдению требований, что может привести к значительным финансовым санкциям для предприятий.

«Понятно, что предприятия сбиты с толку этим предстоящим регулированием; они не знают, подчиняются ли они закону и что им нужно сделать, чтобы соответствовать требованиям», — сказал Тони Анскомб, евангелист глобальной безопасности в ESET. «Штрафы будут суровыми, и этим фирмам может быть нанесен серьезный финансовый ущерб. Предприятиям следует уделять особое внимание аспекту «разумной безопасности» закона, обеспечивая наличие строгих процессов и методов, включая надежную защиту конечных точек и шифрование, во всей их организации».

Хотя Калифорния — это всего лишь один штат, его правила распространяют информацию и побуждают единомышленников высказываться и действовать. Компании должны ожидать, что аналогичные законы будут приняты по всей стране в ближайшие несколько лет. Фактически, Невада приняла поправку к закону о конфиденциальности в Интернете, требующую от компаний предлагать потребителям право отказаться от продажи их личной информации. Он вступил в силу 1 октября 2019 года. Маловероятно, что это будет последний подобный законопроект, вступивший в силу.

«Конгресс будет чувствовать давление со стороны как сторонников конфиденциальности, чтобы поддержать права, созданные Калифорнией, так и бизнеса, чтобы попытаться внести единообразие в то, что становится все более динамично развивающейся областью политики», — сказал Каттанак. «Суть в том, что это использует концепции, содержащиеся в GDPR, и наверняка будет принято в качестве стандарта другими государствами».

CCPA вступит в силу в январе 2020 года, поэтому у малого бизнеса есть немного времени на подготовку. Но немного. Для этого, по словам Думиака, им следует пересмотреть определенные сферы бизнеса:

• Состояние информационной безопасности
• Обработка персональных данных
• Удовлетворение запросов на доступ
• Другие применимые права или требования

«Кроме того, штрафы и право действовать в отношении конфиденциальности, хотя и влияют на любую организацию, возможно, будут составлять больший процент от их доходов и в большей степени влиять на бизнес-операции и доходы», — сказал Думиак. «Хотя многие считают регулирование головной болью, это регулирование дает потрясающую возможность для малых и крупных организаций получить столь необходимую ресурсную помощь в области безопасности и бизнес-операций».

Если ваш малый бизнес еще не нанял консультанта по обработке данных, чтобы убедиться, что ваша компания соответствует требованиям GDPR, возможно, сейчас самое время обратиться к такому специалисту. Возможно, вы захотите найти кого-то, кто сертифицирован Международной ассоциацией профессионалов в области конфиденциальности (IAPP). Это крупнейшее и наиболее полное глобальное сообщество по защите информации, насчитывающее около 40 000 членов.

Даже если вы уже соответствуете требованиям, стоит следить за правилами Калифорнии, поскольку в настоящее время рассматриваются два законопроекта, которые расширят CCPA. И рассматриваются девять законопроектов, которые сужают сферу действия CCPA.